ウクライナ停電にも関与した攻撃グループ、国内複数物流企業を標的に

米FireEyeは、ロシア政府が関与すると見られる攻撃グループ「Sandworm」の活動を、5月初旬に複数の国内物流企業において観測したことを明らかにした。

同社によると、攻撃の具体的な目的はわかっていないが、攻撃対象となったホストのディレクトリ設定や利用したVPS、対象業種などから「Sandworm」による活動と結論付けたという。

今回の攻撃では、オープンソースの脆弱性検証ツールである「Metasploit」を悪用。破壊活動が目的だった可能性もあるとしている。

「Sandworm」は、過去に「Windows OLE」の脆弱性「CVE-2014-4114」を悪用したゼロデイ攻撃を展開。北大西洋条約機構（NATO）やウクライナなど、西ヨーロッパの政府機関、通信やエネルギーといった重要インフラなどを標的としていた。

さらに2015年12月、2016年12月のウクライナにおける停電へ関与したほか、「EternalPetya」による攻撃と同グループの攻撃手法における類似点が明らかとなっている。

（Security NEXT - 2018/07/20 ） ツイート

PR

関連記事

米当局、Ivanti製品の脆弱性に注意喚起 - 侵害痕跡なくとも初期化検討を
あらたなIvanti脆弱性 - パッチ分析で特定し、3月中旬より攻撃展開か
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
米政府、Apple製品や「Junos OS」の脆弱性悪用に注意喚起
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起
【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ
侵入後に即攻撃するランサムウェア「Ghost」に注意 - 70カ国以上で被害
先週注目された記事（2025年2月9日〜2025年2月15日）
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能